DFN-CERT

Advisory-Archiv

2020-2538: Tails: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-11-18 17:50)
Neues Advisory

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)- und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um Informationen auszuspähen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Das Tor-Projekt informiert über die Schwachstellen mit Verweisen auf die Mozilla Foundation Security Advisories 2020-49 (Firefox ESR 78.4.1, Thunderbird 78.4.2) sowie 2020-51 (Firefox ESR 78.5) und empfiehlt ein Update auf Tails 4.13, um die Schwachstellen zu beheben.

Mit dem Update wird der Tor Browser auf Version 10.0.5 aktualisiert. Die kritische Schwachstelle CVE-2020-26950 in der JavaScript Engine von Firefox, Thunderbird und Tor Browser wurde mit der Version 10.0.4 behoben.

Das Update auf Thunderbird 78.4.1 bringt Änderungen für die OpenPGP-Unterstützung mit sich. Bisher wurde das Zusatzpaket Enigmail für OpenPGP-Verschlüsselung eingesetzt. Die neue Version von Thunderbird unterstützt OpenPGP nativ.

Schwachstellen:

CVE-2020-15999

Schwachstelle in FreeType ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-16012

Schwachstelle in Skia ermöglicht Ausspähen von Informationen

CVE-2020-26950

Schwachstelle in Mozilla Firefox, Firefox ESR und Thunderbird ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-26951

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Umgehen von Sicherheitsvorkehrungen

CVE-2020-26953

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-26956

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-26958

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Cross-Site-Scripting-Angriff

CVE-2020-26959

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-26960

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-26961

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-26965

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2020-26966

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausspähen von Informationen

CVE-2020-26968

Schwachstelle in Firefox, Firefox ESR und Thunderbird ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.